前回の投稿にも書いたように、IHANetにめでたく接続できるようになりましたし。IPv6環境の整備を再度やってみました。もう何度目になるのかわかんないけど(苦笑)
ただ、今までの構成ではどうしてもIPv6とIPv4とで同じネットワーク階層を取らないと気がすまず、それがうまく行かなかったり、セキュリティに不安があったりしたりでデュアルスタックを諦めたりするケースがほとんどだったのですが、ぶっちゃけIP層が違えばネットワーク役割もぜんぜん違うやんね・・・と言うことで、取り敢えずそのことを踏まえて設計を見直すことにしました。結果、取った構成が以下の通りになります。
- 既存サーバセグメントをIPv6上ではDMZセグメントに位置づけた。
- 最低限のセキュリティを担保するため、RTX-3000/C1812JそれぞれでACLを構成(Inboundのみ)
- XG Firewallで一通りのセキュリティを担保
- 内部ネットワーク間のルーティングも担保させる。とは言え、デフォルトゲートウェイをRTX-3000に向けるだけやけど。逆のルーティングはRTX-3000に固定ルートを切った。
- 但し、XG FirerwallはIPv6のWAF機能がないので、ブログサイトのセキュリティはBIG-IP ASMにて担保
- 既存クライアントセグメントをIPv6上での内部セグメントに位置づけ
- 実家サイトは、災害対策サーバセグメントのみデュアルスタック
- 実家のPC運用に影響しないようにするため
というところっすね。
意外とXG Firewallがイケてなくて、
- OSPFv3/RIPng非対応
- WAF非対応
一体何のためにアドレス帯とかをIPv6対応させてんの?って感じなんですが、まぁまぁ無償提供版なんだし仕方がないなぁと。きっと私達α版ユーザなんだわなんて思いながら設定をしていきました。
ブログへのアクセス経路構成図はこんな感じです。
前述の通り、XG FirewallにはIPv6 WAFが対応しておりませんので、そこはBIG-IP ASMで対応させることにしました。対応ルールはIPv4版Virtual Serverと同様です。ただ、BIG-IPはメール通知機能が非常に弱いので、防御時の情報をCSVでリモートログ転送するよう構成し、それをSwatchで拾って通知するようにしようかなと思案しているところです。
ここで面白いのが、IPv6上のDMZセグメントとIPv4上の内部セグメントが同一VLANであることですかね。そう言えばネットワーク構成を考える時こういう考えってあまりしなかったなぁとも。実際にはフレーム盗聴などを考えるとあまりよろしくないんだろうなぁとは思いつつも、自宅の限られたリソースの中ではこの構成もありなのかなーと思いました。
実は病気療養で休職しておりまして。
休職期間に入って、ここ最近まで、朝起きてこういうことに打ち込んで、3時間程度でKOして横になり、3時間ほどゆっくりして再度起き上がってまた打ち込んだり・・・・そんなことを繰り返す生活をしています。本当はあまり活動的になるのは良くないみたいなんですけどね、色々試行錯誤しながら回復させていこうと思っております。
No responses yet